Soglia di blocchi dell'account

Si applica a

  • Windows 10

Vengono descritte le procedure consigliate, la posizione, i valori e le considerazioni sulla sicurezza per l'impostazione dei criteri di sicurezza della soglia di blocco dell'account .

Riferimento

L'impostazione dei criteri di soglia di blocco dell'account determina il numero di tentativi di accesso non riusciti che causeranno il blocco di un account utente. Un account bloccato non può essere usato fino a quando non viene reimpostato o fino alla scadenza del numero di minuti specificato dall'impostazione dei criteri durata blocco account . È possibile impostare un valore compreso tra 1 e 999 tentativi di accesso non riusciti oppure è possibile specificare che l'account non verrà mai bloccato impostando il valore su 0. Se la soglia di blocco dell'account è impostata su un numero maggiore di zero, la durata del blocco dell'account deve essere maggiore o uguale al valore di Reimposta contatore di blocco dell'account dopo.

Gli attacchi con password di forza bruta possono essere automatizzati per provare migliaia o addirittura milioni di combinazioni di password per uno o tutti gli account utente. Limitare il numero di accessi non riusciti che possono essere eseguiti quasi elimina l'efficacia di tali attacchi. È tuttavia importante notare che è possibile eseguire un attacco Denial of Service (DoS) in un dominio con una soglia di blocco dell'account configurata. Un utente malintenzionato potrebbe tentare a livello di codice una serie di attacchi con password contro tutti gli utenti dell'organizzazione. Se il numero di tentativi è maggiore del valore della soglia di blocco dell'account, l'utente malintenzionato potrebbe potenzialmente bloccare ogni account.

I tentativi non riusciti di sbloccare una workstation possono causare il blocco dell'account anche se l'opzione Accesso interattivo: Richiedi autenticazione controller di dominio per sbloccare la sicurezza della workstation è disabilitata. Windows non deve contattare un controller di dominio per uno sblocco se si immette la stessa password con cui si è connessi, ma se si immette una password diversa, Windows deve contattare un controller di dominio nel caso in cui la password sia stata modificata da un altro computer.

Valori possibili

È possibile configurare i valori seguenti per l'impostazione dei criteri di soglia di blocco account :

  • Numero definito dall'utente compreso tra 0 e 999
  • Non definito

Poiché le vulnerabilità possono esistere quando questo valore è configurato e in caso contrario, le organizzazioni devono valutare le minacce identificate e i rischi che stanno cercando di mitigare. Per informazioni su queste impostazioni, vedere Contromisura in questo articolo.

Procedure consigliate

La soglia selezionata è un equilibrio tra efficienza operativa e sicurezza e dipende dal livello di rischio dell'organizzazione. Per consentire l'errore dell'utente e contrastare gli attacchi di forza bruta, le baseline di sicurezza di Windows consigliano un valore pari a 10 potrebbe essere un punto di partenza accettabile per l'organizzazione.

Come per altre impostazioni di blocco dell'account, questo valore è più di una linea guida che di una regola o di una procedura consigliata perché non esiste una sola dimensione adatta a tutti. Per altre informazioni, vedere Configurazione del blocco dell'account.

L'implementazione di questa impostazione di criterio dipende dall'ambiente operativo. vettori di minacce, sistemi operativi distribuiti e app distribuite. Per altre informazioni, vedere Considerazioni sull'implementazione in questo articolo.

Posizione

Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri di blocco account

Valori predefiniti

Nella tabella seguente sono elencati i valori dei criteri predefiniti effettivi ed effettivi. I valori predefiniti sono elencati anche nella pagina delle proprietà per l'impostazione dei criteri.

Tipo di server o oggetto Criteri di gruppo (OGGETTO Criteri di gruppo) Valore predefinito
Criteri di dominio predefiniti 0 Tentativi di accesso non validi
Criteri del controller di dominio predefiniti Non definito
Impostazioni predefinite del server autonomo 0 Tentativi di accesso non validi
Impostazioni predefinite valide per il controller di dominio 0 Tentativi di accesso non validi
Impostazioni predefinite valide per il server membro 0 Tentativi di accesso non validi
Impostazioni predefinite dell'oggetto Criteri di gruppo valide nei computer client 0 Tentativi di accesso non validi

Gestione dei criteri

Questa sezione descrive le funzionalità e gli strumenti disponibili per gestire questa impostazione di criteri.

Requisiti di riavvio

Nessuna. Le modifiche a questa impostazione di criterio diventano effettive senza un riavvio del computer quando vengono salvate in locale o distribuite tramite Criteri di gruppo.

Considerazioni sull'implementazione

L'implementazione di questa impostazione di criteri dipende dall'ambiente operativo. Prendere in considerazione i vettori di minacce, i sistemi operativi distribuiti e le app distribuite. Ad esempio:

  • La probabilità di un furto di account o di un attacco DoS si basa sulla progettazione della sicurezza per i sistemi e l'ambiente. Impostare la soglia di blocco dell'account in considerazione del rischio noto e percepito di tali minacce.

  • Quando si verifica una negoziazione dei tipi di crittografia tra client, server e controller di dominio, il protocollo Kerberos può ripetere automaticamente i tentativi di accesso all'account che vengono conteggiati per i limiti di soglia impostati in questa impostazione di criterio. Negli ambienti in cui vengono distribuite versioni diverse del sistema operativo, aumenta la negoziazione dei tipi di crittografia.

  • Non tutte le app usate nell'ambiente gestiscono in modo efficace il numero di tentativi di accesso da parte di un utente. Ad esempio, se una connessione si interrompe ripetutamente quando un utente esegue l'app, tutti i successivi tentativi di accesso non riusciti vengono conteggiati per la soglia di blocco dell'account.

Per altre informazioni sulle raccomandazioni della baseline di sicurezza di Windows per il blocco dell'account, vedere Configurazione del blocco dell'account.

Considerazioni sulla sicurezza

Questa sezione descrive come un autore di un attacco può approfittare di una funzionalità o di una configurazione, come implementare contromisure e le possibili conseguenze negative dell'implementazione di contromisure.

Nota

Un criterio di soglia di blocco verrà applicato sia agli utenti del computer membro locale che agli utenti di dominio, al fine di consentire la mitigazione dei problemi come descritto in "Vulnerabilità". L'account amministratore predefinito, tuttavia, sebbene sia un account con privilegi elevati, ha un profilo di rischio diverso ed è escluso da questo criterio. In questo modo non esiste uno scenario in cui un amministratore non possa accedere per risolvere un problema. In qualità di amministratore, sono disponibili strategie di mitigazione aggiuntive, ad esempio una password complessa. Vedere anche Appendice D: Protezione degli account amministratore Built-In in Active Directory.

Vulnerabilità

Gli attacchi con password di forza bruta possono usare metodi automatizzati per provare milioni di combinazioni di password per qualsiasi account utente. L'efficacia di tali attacchi può essere quasi eliminata se si limita il numero di tentativi di accesso non riusciti che possono essere eseguiti. È tuttavia possibile eseguire un attacco DoS in un dominio con una soglia di blocco dell'account configurata. Un utente malintenzionato potrebbe tentare a livello di codice una serie di attacchi con password contro tutti gli utenti dell'organizzazione. Se il numero di tentativi è maggiore della soglia di blocco dell'account, l'utente malintenzionato potrebbe essere in grado di bloccare ogni account senza bisogno di privilegi speciali o di essere autenticato in rete.

Nota

Gli attacchi password offline non vengono contrastati da questa impostazione di criterio.

Contromisura

Poiché le vulnerabilità possono esistere quando questo valore è configurato e quando non è configurato, vengono definite due contromisure distinte. Le organizzazioni devono valutare la scelta tra i due, in base alle minacce identificate e ai rischi che vogliono mitigare. Le due opzioni di contromisura sono:

  • Configurare l'impostazione della soglia di blocco dell'account su 0. Questa configurazione garantisce che gli account non vengano bloccati e impedirà un attacco DoS che tenta intenzionalmente di bloccare gli account. Questa configurazione consente anche di ridurre le chiamate al supporto tecnico perché gli utenti non possono bloccarsi accidentalmente dai propri account. Poiché non impedisce un attacco di forza bruta, questa configurazione deve essere scelta solo se entrambi i criteri seguenti sono soddisfatti in modo esplicito:

    • L'impostazione dei criteri password richiede che tutti gli utenti dispongano di password complesse di otto o più caratteri.
    • È disponibile un solido meccanismo di controllo per avvisare gli amministratori quando si verifica una serie di accessi non riusciti nell'ambiente.
  • Configurare l'impostazione dei criteri di soglia di blocco dell'account su un valore sufficientemente elevato per consentire agli utenti di digitare erroneamente la password più volte prima che l'account venga bloccato, ma assicurarsi che un attacco con password di forza bruta blocchi ancora l'account.

    Le baseline di sicurezza di Windows consigliano di configurare una soglia di 10 tentativi di accesso non validi, che impedisce blocchi accidentali dell'account e riduce il numero di chiamate al supporto tecnico, ma non impedisce un attacco DoS.

    L'uso di questo tipo di criteri deve essere accompagnato da un processo per sbloccare gli account bloccati. Deve essere possibile implementare questo criterio ogni volta che è necessario per ridurre i blocchi di massa causati da un attacco ai sistemi.

Impatto potenziale

Se questa impostazione di criterio è abilitata, un account bloccato non è utilizzabile fino a quando non viene reimpostato da un amministratore o fino alla scadenza della durata del blocco dell'account. L'abilitazione di questa impostazione genererà probabilmente molte più chiamate al supporto tecnico.

Se si configura l'impostazione dei criteri di soglia di blocco dell'account su 0, è possibile che il tentativo di un utente malintenzionato di individuare le password con un attacco con password di forza bruta non venga rilevato se non è presente un meccanismo di controllo affidabile.

Se si configura questa impostazione di criterio su un numero maggiore di 0, un utente malintenzionato può bloccare facilmente qualsiasi account per cui il nome dell'account è noto. Questa situazione è particolarmente pericolosa considerando che per bloccare gli account non sono necessarie credenziali diverse dall'accesso alla rete.

Argomenti correlati

Criteri di blocco account